En la víspera de Año Nuevo se dio a conocer iDict, una herramienta que permitía perpetrar ataques de fuerza bruta para obtener contraseñas de cuentas de iCloud, el servicio de almacenamiento en la nube de Apple.

Aprovechando un agujero de seguridad en el servicio, iDict adivinaba contraseñas fáciles y por lo tanto débiles, como las clásicas "Password1" o "Iloveyou1". Pero no te preocupes: si la tuya no figura en este listado de 500 contraseñas, que funcionaba como diccionario de donde la herramienta extraía las credenciales, tu cuenta no está en peligro. Sobre todo si, además de una contraseña fuerte y segura, utilizas el doble factor de autenticación.

iDict usaba un exploit en la infraestructura de seguridad de iCloud para evadir las restricciones y la doble autenticación, que justamente, previene ataques de fuerza bruta para que los atacantes no puedan acceder a las cuentas. Pero la herramienta tiene limitaciones, porque solamente sería 100% efectiva ante cuentas que tuvieran una de las 500 contraseñas de la lista publicada.

"Este bug es dolorosamente obvio y era solo una cuestión de tiempo antes de que fuera usado en forma privada para actividades maliciosas o viles, lo revelé públicamente para que Apple lo parcheara", dice @Pr0x13, el responsable detrás de iDict.

idict_pr0x13

Al parecer, su deseo se cumplió y Apple, en efecto, solucionó la vulnerabilidad:

Esto significa que, apenas unos días después de que saliera a la luz la herramienta, su uso comenzó a fallar al tiempo que la cantidad de intentos de acceso fue limitada, por lo que las cuentas se bloqueaban luego de que se ingresaran contraseñas incorrectas.

Pero tal como nota Fayerwayer, "se supone que Apple no permitía probar una y otra vez contraseñas de forma aleatoria para una cuenta, por eso es preocupante que esta herramienta funcionase, ya que el truco estaba en que simulaba ser un dispositivo con iOS".

El incidente viene luego de que en septiembre de 2014 se produjera la masiva filtración de fotos íntimas de famosas, que expuso a Jennifer Lawrence, Kate Upton, Kim Kardashian, Rihanna y otras celebridades. En ese entonces, se supo que el motivo de la filtración había sido el acceso a cuentas de iCloud, pero no se trató de una brecha en dicho sistema: hubo una combinación de contraseñas débiles con respuestas fácilmente adivinables a las preguntas de seguridad requeridas para el acceso, y todo esto facilitó la tarea de los atacantes.

De todas formas, es posible prevenir esto y proteger tu contenido en iCloud para que no se filtre. Y por si todavía no lo has adivinado, una de las principales medidas es activar la doble autenticación.

Así que, ¿qué esperas para protegerte? No te olvides de revisar estas preguntas frecuentes acerca de la verificación en dos pasos del ID de Apple.